Запретить доступ на запись для пользователя root в домашних каталогах

Question 1

Вы задаете неправильный вопрос, если хотите получить ответ, отличный от "Нет" - root не может быть ограничен в выполнениичто-либо(включая изменение разрешений, но может ли *божество* установить разрешения настолько строгие, что даже оно не сможет их обойти?).

Вероятно, вы хотите иметь возможность выдавать пользователям некоторые административные привилегии (установка программ и т.п.), не делая их всемогущими в системе. Для этого вы можете использовать, например,sudoс ограничениями на уровне пользователя/группы.

Answer

Вы задаете неправильный вопрос, если хотите получить ответ, отличный от "Нет" - root не может быть ограничен в выполнениичто-либо(включая изменение разрешений, но может ли *божество* установить разрешения настолько строгие, что даже оно не сможет их обойти?).

Вероятно, вы хотите иметь возможность выдавать пользователям некоторые административные привилегии (установка программ и т.п.), не делая их всемогущими в системе. Для этого вы можете использовать, например,sudoс ограничениями на уровне пользователя/группы.

Question 2

Пользователь root может изменять что угодно в домашнем каталоге любого пользователя, так задумано.

Чтобы пользователи могли читать, но не изменять файлы, вам придется использовать группы и предоставить файлам разрешение только для чтения. Пример, иллюстрирующий ваш вариант использования, доступен по адресуздесь:

Answer

Пользователь root может изменять что угодно в домашнем каталоге любого пользователя, так задумано.

Чтобы пользователи могли читать, но не изменять файлы, вам придется использовать группы и предоставить файлам разрешение только для чтения. Пример, иллюстрирующий ваш вариант использования, доступен по адресуздесь:

Question 3

Если вы измените свой каталог /home на монтирование NFS, вы можете использовать опцию root_squash, чтобы сопоставить пользователя root на локальном компьютере с анонимным пользователем на сервере NFS. Это не позволит пользователю root на вашем компьютере изменять файлы в /home.

Однако, хотя root никогда не может изменять файлы других пользователей на сервере NFS, будьте осторожны, что существуют вредоносные действия, которые root все еще может сделать. Например, root может размонтировать /home и заменить его на кажущийся дубликат /home, в который он может записывать. Он также может смонтировать поддельную файловую систему поверх домашнего каталога другого пользователя, в который он также может записывать. Хотя исходные файлы будут по-прежнему в безопасности и нетронутыми на сервере NFS, ваши пользователи не будут знать, как искать этот трюк, и вы можете столкнуться с любой проблемой, которую пытались избежать.

Answer

Если вы измените свой каталог /home на монтирование NFS, вы можете использовать опцию root_squash, чтобы сопоставить пользователя root на локальном компьютере с анонимным пользователем на сервере NFS. Это не позволит пользователю root на вашем компьютере изменять файлы в /home.

Однако, хотя root никогда не может изменять файлы других пользователей на сервере NFS, будьте осторожны, что существуют вредоносные действия, которые root все еще может сделать. Например, root может размонтировать /home и заменить его на кажущийся дубликат /home, в который он может записывать. Он также может смонтировать поддельную файловую систему поверх домашнего каталога другого пользователя, в который он также может записывать. Хотя исходные файлы будут по-прежнему в безопасности и нетронутыми на сервере NFS, ваши пользователи не будут знать, как искать этот трюк, и вы можете столкнуться с любой проблемой, которую пытались избежать.

Запретить доступ на запись для пользователя root в домашних каталогах

решение1

решение2

решение3

Связанный контент